Как избавится от мобильного редиректа «перенаправление на другой сайт»

Мобильный редирект

В этой статье расскажу как совсем недавно столкнулся с очень неприятной штукой, такой, как мобильный редирект.Если выражаться более понятным языком, это перенаправление на другой сайт.
И эта неприятная штука произошла с моим сайтом comp-doma.ru, на котором Вы сейчас читаете эту статью.

В один прекрасный день, будучи не за компьютером, я решаю с помощью своего смартфона на Андроид, просмотреть свой сайт.

Открываю на Мобиле браузер Maxthon, кликаю по закладке comp-doma.ru Начинается загрузка, и где-то на половине загрузки, гляжу что в адресной строке меняется мой адрес сайта http://comp-doma.ru на (.sexshop-emmanuel.com.ua.), и открывается сайт порно – эротического содержания, который ещё и с подвохом. Достаточно дотронутся хотя бы до одной ссылки, автоматически попадаешь на 20 рублей в день. Внимательный человек эту надпись заметит.

Покрывшись холодным потом от происходящего ужаса, первое о чём я подумал, что это вирус, который скорее всего занёс при недавней перепрошивке телефона кастомной прошивкой.

[note]Кастомная прошивка — это видоизмененные, модифицированные прошивки как одним пользователем, так и группой пользователей (CyanogenMod и Miui), то есть прошивка созданная не официальным производителем.[/note]

Ну что же делать…. Приезжаю домой, открываю свой сайт на компьютере. Всё нормально!

Скачиваю родную прошивку телефона, прошиваю. Захожу на свой сайт через вновь прошитый телефон. И опять эта же проблема!!! Опять переправляет на этот же зловещий сайт.

Я нервно начал думать, в чём может быть причина??? dash

Прошивку из виновников исключили. Не могут же две разные прошивки быть заражены одной заразой.

Следующее, на что начинаю грешить — на как-то случайно установленную подписку на развлечения у сотового оператора. Мало ли, иногда дочки в телефон играют, рекламы сегодня полным полно и в игрушках. Случайно ни туда нажали, и вот тебе результат. pardon

Зашёл к сотовым операторам на сайты (у меня 2 симки) просмотрел свои услуги и подписки, всё чисто, подписок нет!

Размышляя иду по «цепочке» дальше. Сотовых операторов исключили. Ещё раз проверяю свой сайт на компьютере, никакой переадресации сайта нет.

Второй час ночи. Утром в 6 вставать на работу. shout

Решаю пока успокоиться, и хорошенько подумать о возможных причинах происходящего и способах решения. mda

Следующим днём на работе, я весь день думал как убрать перенаправление на другой сайт, и где искать виновника редиректа. Раз сам мобильник и сотовых операторов я уже исключил из причин.

Пока находился на работе, у двух товарищей по работе взял сотовые, для проверки сайта. И что бы Вы думали??? Тоже самое! Идёт переадресация на другой сайт!

Тут уже сомнений не осталось! На мой сайт каким-то образом попал вредоносный код. dash

В этот момент у меня волосы «подымаются дыбом» crazy когда я понимаю, что все мои посетители которые заходят на мой сайт с мобильного телефона или планшета, перенаправляются на порно сайты!!!!

«Пулей лечу» с работы домой! Падаю за комп, и как можно быстрее пытаюсь найти в интернете информацию, и решение этой проблемы. gamer

Похожей ситуации найти не удаётся…На просторах интернета рекомендуют разные сервисы по проверки сайта на вредоносный код. Пробую все найденные сервисы. А так же всевозможные плагины для wordpress, по поиску вредоносного кода и ссылок. Яндил, и Гуглил до позднего вечера.

Результата ноль! Ни один сервис, ни один плагин не находят ничего подозрительного. sad

Скачал через FTP весь свой сайт себе на компьютер, и стал рыться в коде файлов с надеждой заметить что ни будь подозрительное.

Я знаю, что редирект (переадресация, перенаправление) можно сделать несколькими способами. Самые популярные и распространённые это: с помощью файла конфигурации .htaccess, при помощи javascript, и под средством PHP кода, а так же в файлах JS.
Есть ещё разные способы, но эти самые распространённые.

Сначала, при помощи текстового редактора Notepad++, в файлах сайта стал пытаться найти URL сайта на который перебрасывает. Поиски ни к чему не привели.

Стал думать дальше…. Где же мог прописаться этот вредоносный код… Начал анализировать структуру сайта.

Думаю: Вредоносный код мог прописаться в четырёх местах это:

1. В базе данных сайта

2. В ядре wordpress, в конфигурационных файлах отвечающих за работу сайта

3. В файлах темы wordpress

4. Заражён сам сервер у хостера. Такое тоже случается, я пока занимался поисками похожего случая в интернете, прочитал несколько старей, где причиной редиректа на сайте был заражённый сервер хостера.

С кого из четырёх подозреваемых начать? mda

Продолжаю размышлять: С базы данных…., структура очень сложная, отнимет не мало времени.

Заразу у хостера, отложил на самый последний случай. После того когда будут проверены все варианты и уверенность что мой сайт 100% не заражен.

Остались ядро wordpress и тема.

В файлах движка wordpress придётся рыться долго и упорно.

Для начала решаю попробовать поменять тему. Секундная процедура, и один виновник будет откинут из подозрения, или хорошо если зараза окажется в теме. Тогда круг будет максимально сужен, и будем выворачивать «на изнанку» саму тему.

Меняю тему. Хватаю сотовый, захожу на сайт. Сайт кривой весь в ненастроенной теме sarcastic Но перенаправления не происходит!!! Вот виновник! Вредоносный код прописался в моей теме.

Уже на позитиве, что виновник у меня в руках boast Открываю файлы заражённой темы.

Как мы уже выше говорили, вредоносный код может прописаться в файлах: htaccess, PHP, и JS.

Смотрим файлы темы. Файла htaccess в теме нет. Файлов JS немного, лежат в папке темы » в папке JS. Файлов PHP в теме достаточно много!

Решаю поступить следующим образом.

Скачиваю свою рабочею тему с сайта разработчика. Через FTP клиент открываю заражённую тему на хостинге. И начинаю из чистенькой, скаченной темы заменять файлы заражённой темы на хостинге. Но не все сразу!

редирект на мобильную версию сайта

Кликни для увеличения изображения

Если открыть папку с темой, мы увидим отдельные файлы, и целые папки.

Для начала не трогая папки, выделяю все файлы и копирую с заменой в заражённую тему на сервере как показано на скршоте. Захожу на сайт с сотового, проверяю. Перенаправление не прекратилось.

Значит фалы которые я скопировал с заменой из чистой темы не содержат вредоносный код. А файл с вредоносным кодом теперь спрятан в папках темы.

Начинаю копировать с заменой по одной папке на хостинг.

Так как знаю, что редирект может быть прописан в JS файлах, первым делом перекидываю папку с именем JS.

Опять проверяю сайт с сотового.

И вот, сайт нормально загружается, без перенаправления!!! Круг поисков сузился до одной папки!!! dance

С заранее скопированной на компьютер заражённой темы, забираю папку JS, и копирую её обратно на хостинг. На всякий случай проверяю с телефона сайт. Опять началось перенаправление.

Сомнений не осталось! Вредоносный код точно сидит в этой папке!

Открываю папку JS чистой темы . В ней два файла и папка. В заражённой папке JS такое же количество файлов и папка.как убрать перенаправление на другой сайт

Так как в корне папки всего два файла, решаю начать именно с них.

Начал с нижнего файла с названием nivo-slider.js. Скопировал с заменой на хостинг. Проверяю. Перенаправление никуда ни делось.
Значит зараза осталась на месте!

Копирую с заменой на хостинг файл с названием frontend.js. Проверяю. И вот перенаправление пропало!!!! smile Ликую!!!! dance

Файл с заразой найден!!!! Теперь дело техники!

Открываю в текстовом редакторе Notepad++ заражённый файл, и чистый файл. Сопоставляю, и смотрю отличия в коде.

И вот он зараза!!!! rtfm Притаился в самом низу! cool

циклическая переадресация на сайте

Так как файл со скачанной темы и с заражённой идентичны за исключение вредоносного кода конечно в заранее сохранённую, настроенную тему, которая была заражена, я копирую файл frontend.js из чистой темы на всякий случай smile .

Заливаю тему обратно на хостинг.

Контрольная проверка с телефона! Даже для достоверности пару проверок подряд smile И ещё одна с телефона жены smile .

Всё чисто!!!! Сайт загружается и работает исправно! Зло побеждено! victory Но нервов попортило не мало! cool

Сразу после решения этой проблемы с редиректом. Принялся за написание этой статьи.

Надеюсь мой способ решения проблемы с редиректом, поможет людям попавшим в подобную ситуацию.

Желаю никому не хватать такую заразу! А кому уж не повезло, благополучно и быстро избавится от неё!

Кому помогла статья, отпишитесь в комментариях!
Поделитесь своим опытом по решению подобных проблем.
Ваши советы могут помочь многим пользователям попавшим в подобную ситуацию!

Кому понравилась статья, обратите внимание на рекламу на сайте. Там кстати иногда бывают интересные вещи. good Желаю удачи! victory 

48 Комментарии

    • Конечно знаю! yes Версии страниц сайта для обычных браузеров, и мобильных, немного разные, и работают по разным правилам. И нет ничего сложного, что бы например злой скрипт заточить для работы в мобильной версии для мобильных браузеров.

  1. Это все замечательно. Но я ничего не поняла, что делать( перенаправление идёт не только с одного конкретного сайта, а вообще с любого и всегда на разные. Что где искать? Что удалять? Можно проще как-то объяснить?
    Спасибо

      • Ваш оптимизм обнадеживает! Спасибо!
        У меня перенаправление идёт вообщетс любого сайта, на который я захожу с телефона. Чаще всего перенаправляет на сайт g6xdroid.ru. при этом появляется уведомление о том, что нужно обновиться, что-то скачать и т.д. скриншот приложила. Все это происходит при подключению к вай-фай. Роутер перенастраивали, результата ноль. То же самое у мужа на телефоне происходит. Как думаете, что это такое? Телефон сбрасывали до заводских настроек, антивирусник не находит ничего.

  2. Если компьютер к вайфаю вашему подключить ноутбук например, тоже самое? Пробуйте третий тел через Ваш вайфай запитать, подруги например, тоже самое случится. Это всё обязательно проделайте, и отпишитесь, жду! Решение уже близко! ok

    • На ноутбуке было такое же месяц назад. Снесла хром, поставила заново-проблема исчезла. Ну и плюс антивирусником прогнала все. Телефона третьего пока не удалось найти.

        • Итак, проверка дала такие результаты. Подключаемые ноутбук к вайфаю-перенвправления нет. Третий телефон так же выдаёт всякую фигню вместо нужного сайта. Т.е. такое ощущение, что только в телефонах такая беда(

          • Елена, на сайт который пытаетесь перейти, залез вредоносный код! И именно в мобильной версии, так было и у меня на этом сайте comp-doma.ru, такая же ситуация как описано в этой статье. Пока хозяин сайта это не исправит, так же и будет на всех мольных версиях этого сайта. Попробуйте на этот сайт зайти не с вайфая, а просто через мобильный интернет, увидите тоже самое!

  3. Здравствуйте!
    У меня такая же проблема как и у Елены!
    Выходит это проблема не в телефоне, а в сайте? И если сразу закрывать нежелательные сайты, то никакого вреда не будет?

    И кстати, на этот сайт я тоже попал только со второго раза, т.к. в первый раз меня перенаправили на подписку за 20 р. в день))

    • Добрый день Левон! Дайте адрес вашего сайта, будем проверять. У меня с моего comp-doma.ru нет на сегодняшний день редиректа (перенапралвения) на сторонние сайты. Мне кажется, что у Вас в компе засел этот злодей, который Вас перенаправляет на сайты с платными услугами. Но в любом случаи нужно всё проверять! Давайте адрес вашего сайта.

  4. На сегодняшний день, это зараза номер один для 1000 сайтов. Материнские вирусы прописываются в разных местах, при удалении презаписывают друг друга. И прописывают вредоносные коды в разных уголках сайта, как правило в файлах JS. К сожалению мой сайт опять подвергся этой атаке. В ручную нашёл и удалил вредоносные коды. А материнские вирусы найти в месте с хостерами не можем.

  5. Дмитрий, помогите мне пожалуйста! Создал сайт, начал его продвигать, а тут вот такая ерунда происходит с моим сайтом. Когда домен вбиваешь в адресную строку и пытаешься зайти на сайт, то он перенаправляет на другие сайты. Пытался искать , но не получается, не знаю что надо искать) мой сайт kaak24.ru

  6. Добрый вечер! У меня та же самая проблема(( при открытии любой страницы, что с гугла, что с фэйсбука, идет редирект на порно сайт aviadeator.com, не знаю что и делать

  7. Дмитрий, у меня точь в точь такая же проблема. Я нанимала специалиста, но он ничего не нашёл. Редирект так и остался, только с мобильного с МТС номеров. Помогите, не могу потерять сайт, он мой единственный источник дохода.

  8. А у меня есть подозрение, что это могли сделать сами хостеры. При чем они могут хорошо все развить, т.е. придумают или уже придумали код который будет перенаправлять только с определенных моделей телефонов или версии андроид. Они легко это могут сделать. Во время помощи, всегда просят доступы. Вывод: нужно учиться как администрировать виртуальный сервер без чужой помощи.

    • У меня тоже подозрение на хостеров есть, ставил разные записи логов, и фаеры, сторонних заходов на сайт не было, значит как то изнутри это делают. Хостерам пишу в службу поддержки, они говорят — проверили, ничего подозрительного не заметили. Не верю что специалисты, такой вирус заметить не могут. Вывод напрашивается сам собой: Не хотят!

  9. У меня случай такой. Начал постепенно падать трафик. При чем страницы все в индексе и не упали в выдаче, даже поднялись. Кроме того добавлялись новые статьи…Это как минимум нелогично. Со смартфона (андроид 4,2) перенаправлений нет. Вот я и думаю, может они есть с других устройств, но проверить возможности нет. Может есть способ который выявляет любые перенаправляения с сайта, кроме как выискивать их в его логах?

  10. у меня тожы было код от мобилный ридирект я пользуюсь смс dle в шаблоне в main.tpl нашол вот такой код после удаление кода исчез мобилный ридирект.
    после удаление мобилнова ридиректа я сменил права доступа к файлу main.tpl на 0444.

    • Здравствуйте Николай. Если методом исключения папок и файлов (как в моей статье) не получается избавится от редиректа, то возможно заражён Ваш хостинг. У меня редирект после лечения по прошествию какого то времени опять появился. Окончательно избавится от редиректа помог антивирус для WordPress: All In One WordPress Security and Firewall Plugin, он кстати по большей части на русском, так что разобраться в настройках ни составит труда. Грузите его только с магазина плагинов wordpress, ни с каких сторонних сайтов! Удачи!

    • Здравствуйте Аня. Заходите к себе в админ панель wordpress, вкладка плагины, далее «Добавить новый» и набираете в строке поиска All In One WordPress Security and Firewall Plugin, устанавливаете. Псле этого у Вас в админпанели появится вкладка «WP Security» Интерфейс у плагина практически весь на русском, плагин сам Вам будет подсказывать и показывать уровень защиты и какие настройки включать. Редирект после настроек должен исчезнуть, плагин удалит вредоносный код и поставит Вам защиту.

  11. Спасибо за статью! Перечитал кучу форумов, но не мог найти ответ. Помог Ваш совет с поочерёдной заменой файлов. У меня оказалась похожая ситуация, только вредоносный код сидел в файле header.php самой темы ПЛЮС создался левый файл с названием empty.gif с зашифрованной ссылкой (Base64)

  12. У меня на сайте тоже какаято мистика при заходе с телефона перекидывает на порно шляпу aviadeator,com, причем мистика в том что это происходит с ресурсов посвященных сантехнике. Бред короче какой-то. 5 раз нормально заходит. 6 перекидывает на порно, блин хрень какая-то. Пригласил знакомого который разберается, будем ковырять сегодня движок, темы сайта.

  13. Такая же проблема, что и описана в статье, практически один в один. Поставил рекомендуемый плагин, но не могу разобраться, что и как настраивать. Дмитрий, может подскажете?

  14. Вместо поиска методом исключения не проще ли было скачать файлы с сервера и потом сравнить скачанные и оригинальные файлы какой-нибудь тулзой, которая отображает различия в файлах? Типа Kaleidoskope для MacOS. Не поверю что нет подобного инструмента для других операционных систем.

    Даже обычный diff сэкономил бы вам кучу времени

    diff —brief -r dir1/ dir2/

Оставить комментарий